1. 阿里云云通信产品架构
阿里云云通信产品依赖阿里云计算操作系统作为底座提供的高可用性、高稳定性的计算、存储、安全等产品能力;依靠阿里云安全产品提供全数据生命周期的安全防护能力;依赖阿里云安全团队提供专业的运营、审计能力,构建起一套高效、安全的保护屏障。
阿里云云通信产品架构图:
2. 网络安全
阿里云内部网络与外部网络之间,存在强制的安全管控策略;内部网络根据业务划分为生产、测试、办公等不同安全域,不同安全域之间默认保持隔离;不同应用之间使用VPC技术进行网络隔离,不同VPC默认情况不可打通;内部和外部网络、跨安全域、跨VPC之间的网络打通,都由安全工程师审核,并提供安全的通信方案以及匹配的安全组进行强力管控,通过白名单防护和上下游运营商的通信安全;跨安全域之间的通信,受云防火墙的保护。
阿里云云安全对所有网络资产进行ACL巡检扫描,通过识别高危服务端口以及高危服务指纹,发现边界开放的非预期安全风险,并且下发工单进行安全治理。
3. 主机(含容器)安全
阿里云云安全中心提供完整的入侵检测、病毒检测反入侵能力,可以完成:异常登录检测网站后门查杀(WebShell)、主机异常行为检测(进程异常行为和异常网络连接检测)、主机系统及应用的关键文件篡改检测和异常账号检测,并且对主流勒索、挖矿、DDoS木马等病毒的实时拦截能力;并且已支持检测主流Windows系统漏洞、Linux软件漏洞、Web-CMS漏洞、应用漏洞,同时还能提供针对网络上突然出现的紧急漏洞的应急检测和修复服务。
阿里云主机(含容器)使用自研的Aliyun Linux 2 OS操作系统,已经经过国际第三方Cyber Internet Security(CIS)组织认证的OS Benchmark。自身提供完整的安全加固能力。
阿里云安全提供7*24小时的反入侵应急响应能力,保证主机(含容器)级别的安全,为云通信保驾护航。
4. 数据安全
用户的云上数据安全,是用户的生命线,也是云上安全能力的一个最重要具象表现。早在2015年7月,阿里云就发起了中国云计算服务商“数据保护倡议”。阿里云数据安全能力能够帮助用户防止数据泄露,并满足个人信息保护、等级保护2.0等合规要求。阿里云云通信对客户数据的整个生命周期管理有严格的要求,并配合先进的技术手段以保障客户数据的安全。
4.1 数据采集安全
数据采集安全指的是在数据创建的源头就保障数据的识别和分类分级在第一时间能够完成,这样才能保证后续对云上数据的保护做到有的放矢。良好的数据分类分级能够保障后续的安全保护淮确性和效率。
其中:
第一步是对数据中的敏感信息,如个人验证信息(PII),进行发现和检测。
第二步是针对数据中的敏感信息,根据用户的使用场景,合规需求和安全要求,对数据进行分类分级,从而达到自知数据资产,并后续进行针对性保护的作用。
阿里云的敏感数据保护(Sensitive Data Discovery and Protection,简称SDDP)产品可在得到云上用户授权后,自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶/文件对象等不同级别数据信息。
通过关键字、规则、机器学习模型算法,精淮识别云环境内的敏感数据。SDDP根据敏感数据识别结果,可实现云上数据基于业务内容的分类以及基于敏感程度的分级,以供后续根据敏感分类分级结果在云上系统中对用户数据实现相关的保护机制。
4.2 数据传输安全
数据传输安全是通过数据传输链路加密来保障的。传输加密是指云产品为用户访问(包括读取和上传)数据提供了SSL/TLS协议来保证数据传输的安全。
同时,阿里云的网关产品也提供传输链路的加密功能。VPN网关(VPN Gateway)服务,可通过传输链路加密通道将企业本地IDC和阿里云VPC安全可靠的连接起来。阿里云的证书服务(Alibaba Cloud Certificates Service),可以在云上签发第三方知名CA证书颁发机构的SSL证书,帮助用户实现其网站HTTPS化,使网站可信,防劫持、防篡改、防监听。
4.3 数据存储安全
数据存储安全主要是通过数据落盘加密来保障的。阿里云提供云产品落盘存储加密能力给用户,并统一使用阿里云密钥管理服务(Key Management Service,简称KMS)进行密钥管理。阿里云的存储加密提供256位密钥的存储加密强度(AES256),满足敏感数据的加密存储需求。
4.4 数据处理安全
数据处理安全主要体现在数据在使用中需要进行有效的隔离保护。隔离手段可以是用户侧通过使用加密计算环境实现隔离,可以通过各个产品中的权限管控等隔离手段实现,也可以通过在数据分类分级基础上的对数据脱敏使得未授权用户不得获取相关敏感信息来实现数据的隔离保护需求。
4.5 数据销毁安全
阿里云在终止为云服务客户提供服务时,会及时删除云服务客户数据资产或根据相关协议要求返还其数据资产。阿里云数据清除技术满足行业标准,清除操作留有完整记录,确保客户数据不被未授权访问。
5. 应用安全
阿里云云通信产品和所有阿里云云产品一样,使用阿里云内部云产品安全生命周期平台进行内部安全风险管理。云产品安全生命周期平台提供包括漏洞运营、架构审核、代码审计、渗透测试、安全解决方案等安全能力,在产品架构审核、开发、测试审核、应急响应的各个环节层层把关,拉通各个安全团队,赋能云产品安全能力。
6. 业务安全
6.1 服务申请
真实有效的用户身份验证既符合对登记法人或者个人合法权益的有效保护,也符合监管对于短信服务使用者身份信息的甄别要求。
客户申请服务时,阿里云云通信会对所有客户进行实名制登记,再提供服务;针对风险场景、功能,还会对业务的安全性进行二次审核。所有实名制登记均需提供合法合规的书面证明文件;部分重要行业(如政府机构、事业单位)还会进行专人回访,以防止信息被滥用、冒用。
6.2 运营规范
阿里云云通信不但拥有完整的产品技术体系提供业务保障,还有着与之配套的运营基础,依托于严格的权限管理机制以及常年安全运营经验沉淀,为用户使用短信服务提供完善的内容审核,监管协查等多方面的支持与服务。
在智能化、精细化的运营管理思路下,阿里云云通信拥有独立的运营管理中心,所有影响生产环境的操作均受到严格的权限控制和监控。各运营节点均部署有不同技能的专业素养人员,保证权限和信息的最小可用性隔离。每一个运营人员入职起就进入到完整的信息安全培训体系以及业务技能培训体系中,并对运营质量进行周期性的复检,确保员工从入职之际开始,就能不断获得安全意识和运营能力的提升。
除内部的自我管理以外,阿里云云通信致力于为客户提供全面的业务支持,并基于丰富的运营经验和生产链路管理能力,当用户在使用短信服务过程中面临相关的监管协查时,安全运营将提供事件分析、处置建议、材料收集反馈等全流程的服务支持,并不断致力于其合规、高效、可视的演进。
6.3 合作伙伴管理
为了给客户提供更好的服务和体验,阿里云云通信除了不断增强自身能力外,集合各领域能力突出的合作伙伴一起打造更优的阿里云云通信短信服务。
• 阿里云云通信对合作伙伴制定明确的管理规范,约定合作伙伴违规情形和相关处罚,并明确合作伙伴的清退规则和流程。对不符合要求或违反合作条例的及时进行相应的处理,对于清退的合作伙伴确保相关账号权限及时关闭,数据及时清理。
• 对于资质造假,严重违反诚信原则、或因违约而给阿里云云通信及其客户造成重大损失或负面影响的合作伙伴,将视情节严重程度对其进行相应处罚或列为合作黑名单。
• 阿里云云通信在不同的场景对合作伙伴的安全能力有相应的要求,同时鼓励合作伙伴申请ISO27001/ISO27002等信息安全管理资质,并将其作为合作伙伴安全能力评价的组成部分。
• 阿里云云通信对通信供应商准入进行安全评估,合作过程中的安全性及规范性进行管理,以保障客户业务安全。
• 对于合作项目参与人员,在数据安全培训与考试、安全软件安装与终端安全配置、权限申请与审批、数据传输与使用、数据安全审计与监控、合作结束后交接及数据清理等方面有严格的规范与要求。对于违反相关规定的依据情节严重程度对其进行相应处罚,如造成阿里云云通信信息泄露,或影响客户及业务系统服务的,将依据双方约定、受损程度追究合作方法律责任。
• 对于软件供应商,阿里云云通信依据相关的法律法规对相关组件和软件进行相应的安全扫描和安全检测,存在中、高风险的禁止上线,如感知到风险事件或威胁,第一时间展开应急响应流程,快速降低风险事件/威胁对业务可能带来的安全风险。
6.4 产品发布变更
当产品要在新的迭代中实现新业务/新需求的时候,需要结合具体业务功能和业务场景,对其技术实现方案进行安全评估,以保障业务的合法合规性、提前发现漏洞,减少/杜绝业务逻辑漏洞,有效控制业务风险等。
1) 阿里云云通信在以下场景进行产品发布变更安全评审:
• 当业务新建应用,或新增业务场景时,会进行线上及线下安全评审,对代码及业务流程进行审核。
• 当老应用进行日常迭代优化需求评审时,对DIFF进行安全审核。
• 当涉及敏感信息、会员登录管理、业务权限设计与管理、资金收账转账、交易流程更改等敏感业务功能时,会进行线下专家评审。
2) 产品发布变更主要的安全管控措施如下:
• 安全培训:阿里云云通信研发、测试等人员固定时间点、周期内接受应用安全标准/规范、社会工程等方面的安全意识培训,并完成相应内容考试。
• 需求分析阶段:涉及安全相关或不确定性风险需求时,需求负责人主动发起风险评估,安全团队介入进行需求评审,识别风险并制定安全解决方案。
• 架构设计阶段:网络环境存在重大变更时,进行系统网络架构安全评审;业务存在重大变更时,进行应用级别安全评审。
• 开发阶段:应用研发过程中,遵循相应的应用安全开发规范和安全团队的编码建议方案,主动使用安全产品发现问题,上线前完成代码审计。
• 测试阶段:应用测试过程中,按照相关规范进行测试,根据安全部门要求进行安全测试,在上线前及时发现风险并进行处理。
• 发布迭代阶段:应用发布主动接入安全发布平台,接入安全检测能力,并建立相应的审核流程,当变更符合安全发布要求时,才可对外发布。
• 上线运行阶段:应用及功能上线后,部署线上安全产品防御线上风险。对于安全产品告警的风险,技术进行风险确认及修复。
7. 内容安全
阿里云云通信基于多年的风险防控对抗经验、丰富的黑灰产数据积累及大数据分析建模能力,在内容安全领域沉淀了可用、可信、可靠的产品能力,以保障阿里云云通信云平台和客户业务安全稳定运行。
阿里云云通信内容安全产品在短信服务的各个环节进行保护,将阿里云云通信在自然语言识别、大数据实时计算、大数据行为分析等多种技术全面结合,保障风险发现的准确性、全面性、及时性。
阿里云云通信积累了千万级风险画像标签和几百个不同场景风险库,同时积累了大量模型算法能力用于识别内容风险。无论是几个字的签名,还是几十个字的模板、短信内容等,阿里云云通信利用丰富的风险对抗经验及强大的机器学习能力,能够实现情报的准确搜集、异常行为的快速发现、黑灰产行为场景的高效识别等,为客户提供稳定、安全的服务。主要覆盖的风险识别场景有:涉诈、涉赌、涉黄、禁止行业、限制行业、低俗、恶意行为等。
1) 对用户内容安全的保障,从数据能力积累上主要涉及的模型有四类:
• 变异还原类模型:该类模型通过将不同的形近字、音近字、图标、符号、拼音、外文等变异信息或干扰信息进行还原,以识别黑灰产团伙真实要表达的内容。
• 语义识别类模型:通过对文本内容的语义进行建模分析,识别黑灰产在文本内容中表达的真实意图、场景等。
• 特征抽取类模型:通过对文本内容的要素进行建模分析,识别黑灰产在文本内容中表达的关键特征。
• 风险识别类模型:通过对文本内容的场景进行建模分析,识别黑灰产在文本内容表达中可能存在的潜在风险。
2) 对用户内容安全保障从驱动机制上分为主动检测、被动防御两种模式:
• 被动防御主要是基于阿里云云通信自身的业务场景及平台沉淀,在用户使用平台业务过程中及时识别产生的风险,并结合关联信息进行实时或者离线分析识别后进行处置。
• 主动检测主要是通过情报中心主动搜集外部违法违规风险信息,提取内容风险特征及场景,识别潜在威胁主动提升应对能力。
• 被动防御和主动检测互为补充,前者作为业务开展过程中发现安全事件必要采取的措施,后者补充提升被动发现的滞后性不足,并引入更广泛的风险特征和场景定义,提升风险预警的精准性,二者结合形成全面、及时和有效的安全识别能力。
3) 对用户内容安全保障从业务环节上分为事前、事中、事后三个重要阶段进行防控和治理。
• 事前通过主动防御体系中的情报中心,及时引入安全变形和关联风险事件,针对时事热点事件可能引发的风险进行布防。
• 在短信发送过程中,通过三层过滤体系进行风险防控。首先,通过数据中心和风险识别模块在策略中心组装形成实时规则进行风险拦截。其次,依据风险分级分类规则将识别结果分流到系统处置模块,结合人工审核流程形成二次识别判断。最后校验结果直接触发处罚中心对风险实体对象进行处置,包括权限限制、业务关停等,同时对相似内容进行传播识别和干预。
• 短信发送后,阿里云云通信依旧会对离线数据、模型结果进行风险聚类分析,同时结合情报中心不断收集的外部情报,对可能漏出的风险或潜在新型风险进行追溯处置。
8. 账户安全
阿里云云通信账号管理基于阿里云账号安全管理系统,为客户提供了多种工具和功能,用来帮助客户在各种情况下授权资源的使用权限,其中为客户提供RAM资源访问控制服务,用于用户身份管理与资源访问控制,并支持多因素认证,强密码策略、自定义API权限策略、支持多种限制条件(IP白名单、安全访问SSL/TLS)等。
9. 安全监控与运营
阿里云云通信的安全监控,主要目的是及时发现平台自身的应用、主机、网络等资源被攻击的安全事件,并在发现安全事件后,触发内部应急流程进行处置,及时消除影响。
安全监控主要分为日志收集、异常分析检测、告警、处置。日志收集主要是将平台侧的主机日志、网络日志、应用日志进行收集,并采用实时计算、离线计算方式通过安全风控算法模式,对日志进行处理和分析,进而完成风险的发现与监控。一旦发现异常安全事件,会在内部的安全监控平台上进行告警,并通过钉钉、短信、电话、邮件等方式触发安全应急一号位第一时间进行处置。
阿里云云通信应急响应是指对云通信内部监控发现和外部上报的漏洞、风险事件做出应急处置。外部上报的途径包括外部开源三方组件、三方威胁情报、内部漏洞系统。一旦发现安全事件或漏洞立即触发应急响应流程,并按照标准流程处置。同时为了保障安全生产成立专门团队不定期的进行演练,以确保安全应急流程的有效性。